Olyan oldalt ajánl a kormány az Ügyfélkapu+-hoz, amiben orosz mérőkód fut
Január 15-től megszűnt az Ügyfélkapu, helyette két új, biztonságosabb belépési módot használhatunk: az Ügyfélkapu+-t vagy a Digitális Állampolgár (DÁP) mobilalkalmazást. Az Ügyfélkapu+ egy extra biztonsági lépést vezetett be: a felhasználónév és jelszó mellett minden belépéskor egy egyszer használatos kódot is meg kell adni, amit e-mailben kapnak a felhasználók, vagy egy telefonos alkalmazás generál. A kormány hivatalos ajánlásokat is megosztott a kódgenerátorokra vonatkozóan, például a Verifyr-re és a TOTP.APP nevű weboldalra.
írja a Telex.
Bár ez nem szokatlan megoldás, a kormányzati ajánlás egy ilyen háttérrel rendelkező szolgáltatásra, különösen az orosz–ukrán háború harmadik évében, aggodalmakat vet fel. Ráadásul az oldal üzemeltetője nem ismert, és nem rendelkezik adatvédelmi tájékoztatóval, ami uniós országban szokatlan. Egy kiberbiztonsági szakértő szerint „kétségtelen, hogy a TOTP.APP alkalmazás részletes vizsgálata nélkül nem lehet megmondani, hogy nem jelent-e veszélyt a magyar állampolgárokra”.
Az Ügyfélkapu oldalán található segédlet hivatalos ajánlásként említi a TOTP.APP-ot. Az oldal eredetileg orosz nyelvű volt, és a Wayback Machine archívuma szerint 2018-ban még kriptobányász kódot is futtatott, bár ma már ilyesmi nincs rajta. A Nemzetbiztonsági Szakszolgálat Sajtóirodájának hivatalos álláspontja szerint eddig nem történt visszaélés a szolgáltatással kapcsolatban, és nem találtak biztonsági problémákat.
Az Ügyfélkapu+ beállításához a kormány továbbra is a mobilalkalmazások használatát ajánlja, mint a legegyszerűbb és legbiztonságosabb megoldást. Akik nem szeretnének mobilalkalmazást használni, azoknak elérhető az e-mailes kódopció is. A TOTP.APP használata viszont körülményesebb és kevésbé biztonságos lehet, ezért érdemes mérlegelni az alternatívákat.